As recentes investigações realizadas na Noruega e na Dinamarca sobre potenciais vulnerabilidades em autocarros elétricos de fabrico chinês, nomeadamente os veículos elétricos da marca chinesa Yutong, levantaram sérias dúvidas sobre a segurança cibernética e o eventual controlo remoto por parte do fabricante a partir da China desses veículos.

Em dezembro de 2024, a Autoridade Nacional para a Segurança Cibernética da Noruega (NSM) identificou módulos de comunicação remota capazes de receber comandos externos em autocarros Yutong operados pela Boreal Transport. Embora não haja provas de que esses mecanismos tenham sido usados de forma maliciosa, o relatório destacou a potencial existência de “kill switches” remotos (mecanismos que permitem imobilizar veículos à distância).

Na Dinamarca, a FDM (Forenede Danske Motorvognsejere) e a agência de transportes públicos verificaram anomalias de tráfego de rede em veículos idênticos, o que motivou auditorias preventivas aos sistemas telemáticos. Nenhum caso de desativação intencional foi registado, mas os fabricantes foram instados a entregar documentação completa sobre firmware e servidores de comunicação.

Em Portugal, várias operadoras — entre elas Carris, Rodoviária de Lisboa, SMTUC (Coimbra), TST (Transportes Sul do Tejo) e outras — adquiriram nas últimas décadas autocarros elétricos e híbridos de origem chinesa, principalmente das marcas Yutong, BYD e Golden Dragon.

Embora não existam até ao momento indícios públicos de vulnerabilidades ou bloqueios remotos em frotas portuguesas, a ausência de auditorias independentes limita a capacidade de garantir que os veículos estão totalmente sob controlo nacional.

Dada a integração crescente de sistemas telemáticos de manutenção e diagnóstico ligados à Internet, e o envio de dados de desempenho para servidores externos, impõe-se uma revisão de segurança técnica e contratual.

Recomendações técnicas da CpC a  Carris, Rodoviária de Lisboa, SMTUC (Coimbra), TST (Transportes Sul do Tejo)

1. Auditoria de telemetria e comunicações: As empresas devem realizar uma auditoria completa dos sistemas de telemetria, diagnóstico remoto e comunicação de dados dos veículos elétricos importados. Isto inclui a verificação de cartões SIM, módulos Wi-Fi, 4G/5G e Bluetooth, e a análise do tráfego para identificar conexões com servidores externos.

2. Exigência de documentação técnica integral: Fabricantes e importadores devem fornecer documentação detalhada sobre software embarcado, firmware, rotas de comunicação e políticas de atualização. Contratos futuros devem impor essas obrigações, com verificação por entidades certificadas pela ANACOM e pelo Centro Nacional de Cibersegurança (CNCS).

3. Verificação de mecanismos de atualização remota: Deve ser identificado se existem sistemas “over the air” que permitam executar comandos remotos (por exemplo, bloqueio do motor ou reset do sistema elétrico). Caso existam, as funções devem permanecer desativadas até haver garantias devidamente auditadas.

4. Isolamento das redes operacionais: Os sistemas de gestão de frota não devem partilhar infraestrutura ou rede com sistemas administrativos ou financeiros das empresas. A proteção deve incluir firewalls dedicadas, deep packet inspection e monitorização contínua de fluxos de dados.

5. Testes e auditorias independentes de segurança: As empresas de transportes públicos devem realizar testes em tempo real bloqueando tráfego para domínios e IPs localizados fora do Espaço Económico Europeu e observando eventuais tentativas de reconexão. Para transparência e confiança pública, deve ser promovida uma auditoria independente ao firmware, com relatório resumido acessível ao público.

Principais riscos associados a um eventual controlo remoto a partir do exterior:
1. Imobilização coordenada de veículos e consequente perturbação do serviço em hora de ponta num cenário de conflito aberto ou de sanções entre a NATO/UE e a China.

2. Degradação seletiva de desempenho (por exemplo, limitação de potência) com impactos em segurança operacional e prazos de circulação; 

3. a manipulação de dados operacionais usados para planeamento e facturação, com efeitos em penalizações contratuais e decisões de rede; 

4. a exfiltração de dados sensíveis (geolocalização, perfis de utilização, fluxos de passageiros) com risco para a privacidade e para a segurança de infraestruturas críticas e

5. a possibilidade de pivot para outras redes internas caso a segregação e a monitorização não sejam adequadas. 

Estes cenários não dependem de “condução remota” no sentido cinematográfico; bastam permissões para alterar estados do sistema, aplicar atualizações sem validação robusta ou enviar comandos que afetem a disponibilidade do veículo de sublinhar que tudo isto é feito em código fechado e sem revisão por terceiros.

Em Conclusão

A descoberta de potenciais kill switches em autocarros Yutong na Noruega e Dinamarca não confirma automaticamente riscos equivalentes em Portugal, mas torna urgente uma resposta preventiva.

A confirmação, através de análise forense do firmware e monitorização de rede, de que não existem transmissões não autorizadas nem rotinas ocultas de desativação remota, será essencial para garantir que a transição energética dos transportes públicos portugueses decorre em condições de plena soberania tecnológica e cibersegurança.